Metaが所有する人気メッセージングアプリWhatsAppを利用していたジャーナリストや市民社会のメンバー約100人が、イスラエルのハッキングソフトウェアメーカーParagon Solutionsが所有するスパイウェアの標的になったと、同社は金曜日に主張した。
ジャーナリストや市民社会のメンバーは、デバイスへの侵入の可能性について警告を受けており、WhatsAppはGuardianに対し、問題のユーザー90人が標的にされ、「おそらく侵入された」と「高い確信」を持っていると述べた。
攻撃の背後に誰がいたかは不明である。他のスパイウェアメーカーと同様に、Paragonのハッキングソフトウェアは政�府機関の顧客によって使用されており、WhatsAppは、疑惑の攻撃を指示した顧客を特定できなかったと述べている。
専門家によると、この攻撃は「ゼロクリック」攻撃であり、標的が悪意のあるリンクをクリックすることなく感染する可能性があるという。
WhatsAppは、ジャーナリストや市民社会のメンバーの拠点、特に米国内かどうかの開示を拒否した。
パラゴンはバージニア州シャンティリーに米国オフィスを構えている。同社は、10月にWired誌が米国移民・関税執行局(ICE)の国土安全保障調査部門と200万ドルの契約を締結したと報じたことで、厳しい監視に直面している。
同部門は、連邦政府によるスパイウェアの使用を制限するバイデン政権の大統領令に契約が遵守されているかどうかを確認するため、業務停止命令を出したと報じられている。トランプ政権は就任後2週間でバイデン政権の大統領令を数十件撤回したが、国家安全保障上のリスクとなるスパイウェアの使用を禁止した2023年の大統領令は依然として有効である。
WhatsAppは、パラゴンに「業務停止命令」を送付し、法的手段を検討していると述べた。 WhatsAppは、疑惑の攻撃は12月に阻止されたと述べ、標的がどれくらいの期間脅威にさらされていたかは不明だとした。
同社は現在、ハッキングの被害者に通知しており、WhatsAppから連絡を受ける予定だ。
同社の広報担当者は、「WhatsAppは、ジャーナリストや市民社会のメンバーを含む多数のユーザーを標的としたParagonによるスパイウェア攻撃を阻止しました。被害を受けたとみられる人々に直接連絡を取りました。これは、スパイウェア企業が違法行為の責任を��負わなければならないことを示す新たな事例です。WhatsAppは、引き続き人々のプライバシーを守ります」と述べた。
Paragon Solutionsはコメントを控えた。
同社に近い人物はガーディアン紙に対し、Paragonには35の政府機関が顧客としてあり、その全てが民主主義国家と言える。また、Paragonは、過去にスパイウェアの悪用で非難された国(一部の民主主義国を含む)とは取引を行っていないと語った。関係者によると、その国にはギリシャ、ポーランド、ハンガリー、メキシコ、インドなどが含まれるという。
ParagonのスパイウェアはGraphiteとして知られ、NSO GroupのPegasusスパイウェアに匹敵する機能を備えています。携帯電話がGraphiteに感染すると、スパイウェアの操作者はその携帯電話への完全なアクセス権を持ち、WhatsAppやSignalなどの暗号化されたアプリケーション経由で送信されたメッセージを読むことも可能になります。
イスラエルの元首相エフード・バラク氏によって設立された同社は、最近イスラエルでメディア報道の対象となりました。同グループが米国のプライベートエクイティ会社AE Industrial Partnersに9億ドルで売却されたとの報道があったためです。
報道によると、この取引はイスラエルでまだ完全な規制承認を受けていないようです。GraphiteやPegasusのようなサイバー兵器は、イスラエル国防省によって規制されています。ガーディアン紙は、フロリダ州ボカラトンに拠点を置くAE Industrial Partnersに連絡を取りました。同社のウェブサイトには、Paragonは投資先として記載されていません。
「パラゴンはこれまで、明らかな不正行為に��関与していない『優れた』スパイウェア企業という評判を得てきましたが、WhatsAppの最近の暴露は、その評判を覆すものです。これは一部の悪質な企業だけの問題ではなく、この種の不正行為は商用スパイウェア業界の特徴です」と、Access Nowのシニアテクノロジー法務顧問、ナタリア・クラピバ氏は述べています。
WhatsAppは、いわゆる「ベクター」、つまりユーザーに感染を広める手段は、グループチャットに追加された個人に送信される悪意のあるPDFファイルだと考えていると述べています。WhatsAppは、パラゴンがこの標的攻撃に関連していることを「自信を持って」言えると述べています。
市民社会に対するデジタル脅威を追跡・特定するトロント大学シチズン・ラボのシニア研究員、ジョン・スコット=レールトン氏は、シチズン・ラボがWhatsAppに提供した情報は、同社がユーザーに対して使用されたベクターを理解する上で役立ったと述べています。
同グループは、今後、標的攻撃疑惑に関するより詳細な情報を提供する報告書を発表する予定です。
WhatsAppがこのニュースを発表したのは、カリフォルニア州の判事が、2021年にバイデン政権によって商務省のブラックリストに掲載された著名なスパイウェアメーカー、NSOグループに対する画期的な訴訟で同社に有利な判決を下したわずか数週間後のことでした。当時、バイデン政権は、NSOが「米国の国家安全保障または外交政策上の利益に反する」活動に従事していたため、いわゆるエンティティリストに掲載したと説明していました。
NSOは、リストから除外されるよう議会議員に働きかけてきました。
WhatsAppは2019年、1,400人のユーザーが同社のスパイウェアに感染したと主張し、NSOを提訴しました。12月、フィリス・ハミルトン判事は、NSOが攻撃の責任を負い、米国の州法および連邦法、そしてWhatsAppの利用規約に違反したとの判決を下しました。